NakedWife, simula ser un archivo de Macromedia Flash y se propaga masivamente. 

© Jorge Machado  Lima-Perú

I-Worm.Naked.A, NakedWife.exe, TROJ_NakedWife, W32.Naked@MM, W32/Naked, TROJ_NAKEDWIFE, NAKEDWIFE, W32.HLLW.JibJab@mm

Naked es un gusano escrito en Visual Basic que se propaga por correo electrónico, con un archivo anexado de 73,728 bytes, denominado NAKEDWIFE.EXE el mismo que simula ser una aplicación "Macromedia Flash Movie". Una vez que ha infectado un sistema, se auto-envía a todos los destinatarios existentes en la Libreta de Direcciones de Microsoft Outlook.

El mensaje tiene este formato:

===================================

Attached file: NakedWife.exe
The Subject : Fw: Naked Wife
Message body:

My wife never look like that! ;-)

Best Regards,
[CurrentUser]

===================================

 

Archivo anexado   : NakedWife.exe
Asunto                  : Fw: Esposa desnuda
Cuerpo del mensaje  :

Mi esposa nunca luce así! ;-)

Mis mejores consideraciones,
[nombre del usuario]

===================================

Al ser ejecutado, el gusano muestra una falsa ventana con una imágen de "Macromedia Flash Player" y muestra un mensaje con la palabra "Loading" (cargando), en un bucle sin fin.

En la ventana sólo se encuentra habilitada la opción 'Help -> About Macromedia Flash Player'. Al pulsar sobre ella se muestra el siguiente mensaje:

'You´re now FUCKED! (C) by BGK (Bill Gates Killer)'.

[ OK ]

El gusano no afectará al sistema si este no cuenta con la librería de Visual Basic 6.0 VBVM60.DLL instalada. Si es ejecutada sin estar presente esta librería, Windows mostrará una ventana de error.

Simultáneamente, el gusano se copia a si mismo con el nombre NAKEDWIFE.EXE, en el directorio C:\Windows\Temp para poder anexarse a todos  los mensajes de correo electrónico, usando MS Outlook. Luego se auto-envía a todos los contactos de la libreta de direcciones.

Inmediatamente después inicia una rutina destructiva que borra todos los archivos en la carpeta C:\WINDOWS que tengan las siguientes extensiones:  

*.INI
*.LOG
*.DLL
*.EXE
*.COM
*.BMP

Del mismo modo borrará en la carpeta C:\Windows\Systems, los archivos con estas extensiones :

*.BMP
*.DLL
*.EXE
*.INI
*.LOG

Como consecuencia de estos estragos, Windows no podrá iniciarse al haberse borrado entre otros, el archivo WIN.COM (archivo ejecutable de Windows). La única forma de recuperar el sistema, será reinstalando el sistema operativo.

Sin embargo, los archivos que tengan atributo de solo lectura y los que estén en uso en el momento de la infección, no serán afectados. Además el gusano no funciona en algunos sistemas NT, y puede fallar al enviar sus mensajes infectados.

Dentro del cuerpo del virus puede leerse un texto en formato Unicode, que especifica una ruta dentro de la computadora en la que fue creada, así como el nombre de una filial en Brasil de una empresa multinacional.

C:\Documents and Settings\mhsantos\Desktop\Temp\ProjTemp\ProjTemp.vbp

El gusano no busca modificar el registro de Windows ni los archivos de carga inicial del sistema. Se acción es directa, se activará al hacer doble click sobre el archivo anexado.

PER ANTIVIRUS® versión 6.7, con registro de virus al 06 de Marzo del 2001 detecta y elimina eficientemente este virus.  

Ir al menú anterior

Regresar al Portal de PER SYSTEMS